《网络安全产品可行性分析报告.doc》由会员分享,可在线阅读,更多相关《网络安全产品可行性分析报告.doc(9页珍藏版)》请在三一办公上搜索。
1、网络安全产品可行性分析报告一、 海豚工作室的几种产品的国内现状UTM UTM最早是由美国Fortinet公司提出的,在2004年9月,IDC给出了UTM的定义:由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。相比传统网关安全设备,UTM设备融合多种安全能力,具有投入少、防御能力强、管理方便的优势。近年来,随着安全技术的发展和安全意识的提升,能够综合防范多种网络威胁的UTM产品正逐渐得到广大用户的青睐。国内外大小厂商也都乘势杀入了这个市场。X-Firewall、云火墙、XTM、UTM2,多少概念欲迷人眼
2、;多核架构、硬件加速、千兆、万兆,无数性能试比高低。目前国内典型的有几家著名的网络安全公司都开发了,天融信,启明星辰,LINKTRUST.这几家公司的产品都比较成型.还有一些小公司也在开发,但是没有形成势力.国外的UTM做的最好的公司是Fortinet.防火墙、入侵防御和防病毒几大功能基本是UTM的核心.现在市场上的UTM的技术瓶颈主要是性能问题. 当防火墙、入侵防御和防病毒同时打开时,性能下降幅度普遍超过50%,甚至达到80%或者90%之多.WAF防止网页被篡改是被动的,能阻断入侵行为才是主动型的,前边提到的IPS/UTM等产品是安全通用的网关,也有专门针对Web的硬件安全网关,国内的如:绿
3、盟的Web防火墙,启明的WIPS(web IPS),国外的有imperva的WAF(Web Application Firewall)等。Web防火墙,主要是对Web特有入侵方式的加强防护,如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵,从技术角度都应该称为Web IPS,而不是Web防火墙。这里之所以叫做Web防火墙,是因为大家比较好理解,业界流行的称呼而已。由于重点是防SQL注入,也有人称为SQL防火墙。代理服务:代理方式本身就是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是Web的Cache应用中最常用的技术。代
4、理方式防止了入侵者的直接进入,对DDOS攻击可以抑制,对非预料的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的WAF就是这种技术的代表。特征识别:识别出入侵者是防护他的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode,SQL注入中常见的“真表达(1=1)”应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。算法识别:特征识别有缺点,人们在寻求新的
5、方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。模式匹配:是IDS中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为,当然模式的定义有很深的学问,各厂家都隐秘为“专利”。协议模式是其中简单的,是按标准协议的规程来定义模式;行为模式就复杂一些,Web防火墙最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,你很难察觉进来的是那一个,不知道当然也无法统计。对于
6、已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。IPS实时、主动拦截各类黑客攻击和恶意行为,保护用户信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击,它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之,由于IDS系统会产生很多的错误报告,你真的愿意让IDS系统对合法的网络通信采取行动吗?这就是入侵防御系统(IPS)的任务了。IPS与IDS类似,但是,IPS在设计上解决了IDS的一些缺陷。对于初始者来说,IPS位于你的防火墙和网络的设备之间。这样,如果检测到攻击
7、,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下,IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统,它们使用的技术都不相同。但是,一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。目前有几家好的开源的IPS系统,做的很好,Snort inline 和NFR.国内的许多IPS的开发早期都是参照这两款开源开发的.现在的绿盟,启明都有自己的IPS,各个厂家还在IPS内容过滤设备上投入力量,主要焦点在P2
8、P和网络游戏,还有恶意软件的过滤上.杀毒软件国内也称杀毒软件,简称杀软(“杀毒软件”是由国产的老一辈反病毒软件厂商,如金山毒霸、江民、瑞星、360杀毒等起的名字,后来由于和世界反病毒业接轨统称为“反病毒软件(Anti-virus Software)”或“安全防护软件(Safe-defend Software)”,近年来陆续出现了集成防火墙的“互联网安全套装”、“全功能安全套装”等名词,都属一类),是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。反病毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的反病毒软件还带有数据恢复等功能。 后两者同时具有黑客入侵,网络流量控制等功能。一种可
9、以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。反病毒软件的任务是实时监控和扫描磁盘。部分反病毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。大部分的杀毒软件还具有防火墙功能。 反病毒软件的实时监控方式因软件而异。有的反病毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与反病毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。另一些反病毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。 而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,反病毒软件将会将磁盘上所
10、有的文件(或者用户自定义的扫描范围内的文件)做一次检查。国内自己开发全功能比较成功的是360和瑞星,江民,还有一些中小企业开发适合自己行业使用的杀毒软件,商业操作好的软件还有国外的几个NORTON,KAV,MCAFEE,BITDEFENDER等.密码安全控件在游戏登陆保护,网银登陆保护方面有作用,类似支付宝密码安全控件.密码安全控件主要由以下两个模块组成: 键盘输入安全保护模块 屏幕显示安全保护模块 密码安全控件采用了最新的驱动技术和中断技术,优先于其它的键盘Hook程序和屏显Hook程序处理用户的键盘输入和屏幕显示,因而能够防范各种类型的Hook程序。PasswordGuard的两个模块分别
11、位于操作系统的最底层,其它各类Hook程序都位于PasswordGuard之上,因而防范效果好,安全可靠性高.多方位的远程控制系统系统兼容性:支持Win9X,Win2000,Windows XP,Windows 2003等主流操作系统。穿墙:具有极好的透墙功能,能够做到被控制端只要能够上网就能控制。稳定性:独有的特殊启动方式,使客户端更加稳定。驱动隐藏和保护:隐藏文件、进程,当自身服务被删除或者禁止时,被控制端会自行恢复,在正常模式下无法清除服务端。分组管理:当被控制端的机器比较多时,可设置分组,被控制端上线后会自动归类到指定的分组,方便管理。屏幕监控: 传输速度一流,真正做到了实时监控。自带
12、shell:在被控制端禁止cmd.exe,或者禁止系统重定向的情况下,也能正常操作。稳定的上线方式:该软件采用域名上线方式,无需知道对方IP地址,也不论对方IP地址怎么变化,只要对方的电脑一上网我们的控制端软件上立刻就能看到对方电脑上线,此时便能对其进行监控。二、 国内网络安全产品公司开发模式国内的安全公司基本以技术开发为主,几大安全公司经过10年的开发,产品都比较成熟,基本在行内奠定了品牌基础,10年开发经历的安全公司,启明,绿盟,天融信等都已经上市.国内的一些中小安全公司基本是产品线很窄的那种,只有1-2个产品,方向比较专,基本属于某个产品的专业公司.在硬件产品开发上,大的安全公司基本维护
13、和开发自己公司的专有硬件和OS平台,小公司基本用开源的通用平台,以X86为主.三、 国内网络安全产品公司面临的问题产品性能问题,是网络安全产品公司有待解决的重大问题,现在的中小公司,基本产品开发基本完成,没有太多的新概念产品出来,基本的网络安全产品都有公司开发过,用户选择主要是在产品性能上.现在网络安全产品基本要向其他行业里转移,其他行业的需求各异,要把自己的网络安全产品在某个行业内推广,还需要深入分析行业内的特殊需求,改良自己公司的产品,这个属于行业内需求挖掘四、 安全公司的机遇与挑战目前安全市场向普通行业转移,许多中小安全公司的人员流失严重,都到一些非安全企业去做安全方面的开发和研究,比如
14、道路交通,房地产,石油行业,采矿行业,银行产业,游戏产业等,他们需要大量的安全人员做本行业安全方面的服务和研究.有大量的产品需求市场,可以说是安全行业发展的一大机遇,也是重要的挑战.传统安全行业存在产品通用化的问题,安全产品是万金油,可以说是真正适合行业内的安全产品是一个都没有.传统安全公司人员流失严重,而且一些行业的安全人员比较分散,这些非安全行业很难组织起来开发比较成熟的行业安全产品.所以说目前组建一个和非安全行业结合的网络安全公司,深入开发某个行业的安全平台是很大的机遇,海豚工作室有10年从事安全软件开发的经验和产品代码的积累,如果能组建正规的工作室或者公司,从事某个行业的安全,一定能有
15、大的前景.五、 项目策划市场调研UTM,目前国内启明和绿盟都有,有些小公司在开发当中,成型的不是太多,目前开源的项目有UNTANGLE,但是UNTANGLE产品性能不搞,由于使用了大量的JAVA底层库WAF,目前启明和绿盟有,市场非常好,目前属于比较流行的一款硬件防御设备,国内许多家厂商大多没有自主开发,基本都OEM美国的梭子鱼产品.IPS,目前面市的市场不大,用户不是太认可这种设备,现在的基本开发思路是IPS+内容过滤,市场在培育当中.杀毒软件,基本是安全的核心概念的产品,比较成熟的厂家比较多,许多游戏厂家在开发针对自己网游的反病毒产品,今后还会有一些行业需求自己行业的杀毒产品.安全密码控件
16、,国内的网银和游戏安全登陆基本都要保护密码不被木马和后门截取,将来有这个趋势在好多行业内都要使用密码安全相关控件.多方位远程控制系统,现在国内安全行业的远程控制系统非常多了,在黑客攻防方面是必备的武器.本系统具备的特点:1. 支持WINDOWS 下USER权限下安全安装2. 支持完全隐藏功能3. 突破主动防御4. 支持大流量上传和下载5. 支持桌面搜索功能海豚团队有目前这几个产品和项目,已经具备一个专业网络安全公司的产品底子,完全可以构建专业的安全团队.团队组建OS内核团队,负责整体的硬件平台的KERNEL开发.WEB团队,负责设备开发中的WEB页面设计硬件功能开发团队,负责硬件平台的功能开发
17、WINDOWS研究团队,负责和WINDOWS相关的软件开发逆向和漏洞挖掘团队,负责产品的漏洞签名研究和漏洞挖掘测试团队,负责产品测试工作.目标设定1) 开发并且制作出目前手头有的产品2) 选择一个行业方向,在一年之内,分析清楚其行业内需求,并且在两年之内做出2款适合这个行业的产品3) 1-3年做成行业内品牌的安全公司六、 项目预算该项目初期产品研发是关键,需要水平比较高的研发人员,组建一个完整的产品开发团队,预计10-20人,总费用按年预计300W。中期阶段需要同时开2-6个项目组,开发不同类型软件和硬件,每个项目组预计10人左右,按5项目一年费用预计:600W。后期阶段,建立行业内安全品牌,
18、形成良好的赢利模式大类名目数目单价总计备注硬件核心项目团队项目主管1年付OS-KERNEL核心程序3年付功能模块核心程序2年付WEB管理端2年付测试6年付总计WINDOWS项目团队项目主管1年付核心功能程序3年付界面开发程序2年付WINDOWS研究人员2年付测试3年付总计5个项目团队其他人员财务1年付出纳1年付行政2年付总计固定支出场地200平年付水电网络年付公司日常开销年付电脑30装修、办公设施总计合计增加30%管理费用(税、保险、招聘、流失、招待、调试等)总计七、 预期收益初期一年之内完成六款产品的包装和发部,硬件设备按实际单价走,平均每台硬件设备利润是8-9W,按每个月销售出5台硬件计,
19、硬件月赢利40W.硬件开发在8个月以后形成真正的硬件销售团队.软件在1年内形成销售,按项目走,预计月赢利按每个软件走,3个主要软件,3*5W,就是月赢利15W.中期(一年以后)投入某个行业做行业内安全.分析行业内安全形势和需求,在公司已有产品上做行业内安全项目的研究和开发,迅速改造原有产品,建立比较优质的产品线.后期(2年以后)形成行业内安全品牌,建立良好的开发和运营模式.八、 商业模型研究型的网络安全产品开发公司,深入的解决安全的基本问题,在原有的海豚工作室的基础上建立良好的开发研究运营模式,形成产品的优质品牌,成为行业的佼佼者.附件:海豚工作室介绍:www.horseb.org海豚工作室目前有8人,主要人员:核心成员介绍:horseb:国内著名互联网公司 高级安全主管专家 维克:资深互联网创业者 企业运营管理专家 老K:高级游戏外挂分析研究员 蛋蛋:著名网络安全公司 高级工程师Bird.Net:著名网络安全公司 高级工程师bking2:中国建筑设计研究院 高级软件开发工程师 清心:安全公司 顾问 新疆兔子:黑客研究员联系邮件:dolphinsecurity
